WordPress プラグイン Burst Statistics の脆弱性 CVE-2026-8181 が FIX：20万以上の Web サイトに影響

Critical WordPress Plugin Vulnerability Exposes Websites to Authentication Bypass Attacks

2026/05/18 CyberSecurityNews — WordPress の Burst Statistics プラグインに存在する深刻な脆弱性 CVE-2026-8181 (CVSS：9.8) により、20万以上の Web サイトにおいて完全なアカウント乗っ取りのリスクが生じ、セキュリティ・コミュニティ全体で緊急の懸念が高まっている。 

この脆弱性は、プライバシー重視の分析ツールである Burst Statistics プラグインに影響を及ぼすものであり、2026年5月8日に、 Wordfence の AI 搭載脅威インテリジェンス・プラットフォーム PRISM により発見された。この脆弱性を悪用する未認証の攻撃者は、認証プロセスをバイパスして管理者アカウントになりすますことが可能となる。

この脆弱性が影響を及ぼす範囲は、2026年4月23日に導入されたバージョン 3.4.0 〜 3.4.1.1 となる。 特筆すべき点として、発見までの 15日と、修正までの 19日という、短期間での対応が挙げられる。それが浮き彫りにするのは、AI を活用する脆弱性の発見により、悪用試行の期間が短縮されている状況である。

WordPress プラグイン認証バイパスの脆弱性

この脆弱性は、プラグインの MainWP 統合における不適切な検証に起因している。具体的には、HTTP Authorization ヘッダー経由で認証リクエストを処理する is_mainwp_authenticated() 関数が、認証情報の有効性を適切に検証できていない。

原因となる不適切な戻り値の処理により、このプラグインは WordPress の wp_authenticate_application_password() 関数から返されるエラー以外の応答を、すべて認証成功として扱ってしまう。ただし、特定のケースにおいて、この関数は認証失敗時にエラーではなく null を返すため、悪意のリクエストが検証されずに通過することとなる。

この脆弱性を悪用する攻撃者は、細工済み REST API リクエストを送信するが、その中においては、有効な管理者ユーザー名と任意のパスワードが Basic 認証ヘッダーにエンコードされている。それにより、プラグインに対象管理者のユーザー・コンテキストを設定させ、リクエスト期間中に権限を奪取するという攻撃が成立する。 

その結果として、事前認証を必要としない高権限での操作が可能となる。たとえば、”/wp-json/wp/v2/users” エンドポイントへの単一リクエストのみで、新たな管理者アカウントを作成できる。永続的アクセスとサイト全体の完全侵害が成立するだけではなく、すべての REST API エンドポイントが影響を受けるため、攻撃対象領域は WordPress コア機能にまで大幅に拡大する。

パッチと緩和策

Burst Statistics チームは、脆弱性が公開された直後から対応し、2026年5月12日に修正版 3.4.2 をリリースしている。この動きは、Wordfence が 2026年5月8日に責任ある開示を開始し、5月11日に詳細情報を共有したことを受けたものだ。 

ユーザーに対して強く推奨されるのは、直ちにバージョン 3.4.2 以降へとアップグレードし、このリスクを軽減することだ。Wordfence の Premium／Care／Response ユーザーには、5月8日の時点で既にファイアウォール保護が提供されている。また、無料ユーザーへの保護の提供は、2026年6月7日に予定されている。

セキュリティ専門家は、この脆弱性の悪用は容易であり、認証が不要であることから、脅威アクターにとって非常に魅力的な攻撃ベクターになると警告している。管理者は、即時のパッチ適用を実施する他に、ユーザー・アカウントの監査とログ監視を行い、侵害を防止する必要がある。

訳者後書：今回の Burst Statistics プラグインにおける脆弱性 CVE-2026-8181 (CVSS：9.8) は、認証失敗時の戻り値処理に不備があったことに起因します。本来であれば、エラーを返すはずの認証失敗時に null が返された際に、プログラムがエラー以外の応答として、つまり認証成功と誤認するという問題があります。このように、外部の関数から返される想定外の戻り値への考慮漏れが、認証を完全にバイパスされるという、深刻な問題に繋がっています。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。